Art. 5 GDPR — Principi applicabili al trattamento di dati personali

Commento

I principi come architettura del Regolamento

L'art. 5 GDPR è la spina dorsale del Regolamento. Le disposizioni successive (basi giuridiche, diritti, sicurezza, sanzioni) sono declinazioni operative dei principi enunciati nell'art. 5. I sei principi del par. 1 e l'accountability del par. 2 costituiscono il banco di prova di ogni trattamento: prima di chiedersi se il consenso è valido o se il contratto è in regola, occorre verificare la conformità ai principi. La CGUE ha più volte sottolineato che la violazione dei principi ha portata sistemica e giustifica le sanzioni più gravi, anche quando le singole regole tecniche sono formalmente rispettate. La violazione dei principi è soggetta alla fascia sanzionatoria massima dell'art. 83, par. 5: fino a 20 milioni di euro o al 4% del fatturato mondiale.

Liceità, correttezza, trasparenza (lett. a)

Il primo principio è triplice. La liceità impone una base giuridica dell'art. 6 (o art. 9 per categorie particolari, art. 10 per condanne). La correttezza esige assenza di pratiche ingannevoli, manipolatorie o nascoste: il titolare non può sfruttare asimmetrie di potere o conoscenza a danno dell'interessato. La trasparenza obbliga a comunicare in modo chiaro, intelligibile, accessibile (art. 12) le informazioni dovute (artt. 13-14). Le tre dimensioni operano in modo cumulativo: un trattamento formalmente lecito può essere scorretto, o opaco, e dunque incompatibile con l'art. 5. EDPB e Garante hanno sanzionato pratiche di dark patterns, cookie wall, layered information opaca.

Limitazione delle finalità (lett. b)

I dati sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il principio impone al titolare di definire ex ante perché tratta, e impedisce di riutilizzare i dati per scopi nuovi senza nuova base giuridica o test di compatibilità (art. 6, par. 4). Eccezioni sono previste per archiviazione di interesse pubblico, ricerca scientifica, storica o statistica (art. 89). Il principio è quello del purpose limitation: chi raccoglie per spedire un ordine non può successivamente usare quei dati per profilazione pubblicitaria senza nuovo consenso o altro fondamento. La rotazione tra basi giuridiche per stessa finalità è pratica sanzionata dall'EDPB.

Minimizzazione, esattezza, conservazione (lett. c-e)

La minimizzazione (lett. c) richiede dati adeguati, pertinenti e limitati a quanto necessario: ogni campo del form va giustificato; informazioni superflue vanno espunte. L'esattezza (lett. d) impone aggiornamento e tempestiva rettifica o cancellazione dei dati inesatti rispetto alle finalità. La limitazione della conservazione (lett. e) richiede di mantenere i dati in forma identificabile per un arco temporale non superiore al necessario: politiche di retention scritte, processi di cancellazione automatica, deroghe motivate solo per archiviazione o ricerca con garanzie ex art. 89. La violazione di questi principi è frequente nelle PMI: server pieni di file storici, backup mai cancellati, fogli Excel senza data di scadenza sono rischi sanzionatori.

Integrità e riservatezza (lett. f)

Il principio impone di trattare i dati in modo da garantire un'adeguata sicurezza, inclusa protezione contro trattamenti non autorizzati o illeciti e contro perdita, distruzione, danno accidentale, mediante misure tecniche e organizzative adeguate. È il ponte verso l'art. 32 GDPR: cifratura, controllo accessi, backup, business continuity, formazione del personale. La giurisprudenza del Garante italiano ha sanzionato gravemente (centinaia di migliaia di euro) ospedali, comuni, ISP e operatori privati per password deboli, accessi non profilati, log mancanti. Il principio si lega al data breach (artt. 33-34): chi non rispetta integrità e riservatezza viola l'art. 5 e rischia l'obbligo di notifica.

Accountability (par. 2)

Il paragrafo 2 introduce la novità di sistema: il titolare è competente per il rispetto del par. 1 e deve essere in grado di comprovarlo. È il principio di accountability che attraversa l'intero GDPR. Non basta rispettare i principi: occorre poterlo dimostrare con documentazione, policy, registri (art. 30), DPIA (art. 35), audit, formazione. L'onere della prova è del titolare: nelle ispezioni del Garante e nei contenziosi, è il titolare a dover esibire le evidenze. L'accountability ha cambiato la natura della compliance: non più registro statico, ma processo continuo, misurato e documentato. È il vero discrimine rispetto alla previgente direttiva 95/46/CE.

Regola pratica e checklist operativa

L'operatività dell'art. 5 si traduce in scelte di sistema: definizione documentata della finalità per ogni trattamento, mappatura dei dati raccolti con motivazione di minimizzazione, politiche di retention scritte e automatizzate, controlli di esattezza periodici, misure di sicurezza commisurate al rischio. L'accountability esige strumenti probatori: registro art. 30, DPIA per trattamenti rischiosi, audit interni, formazione documentata. In sede ispettiva il Garante chiederà evidenze, non rassicurazioni. Investire in compliance documentata è il miglior scudo contro la sanzione del 4%.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.